Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
ゼロトラストセグメンテーション

ゼロトラストセキュリティモデルを広く開かれた環境に実装する方法

Illumio Editorial
Illumio Editorial
2022年3月18日
23分読む

セキュリティに保護された境界を備えたオンプレミス ストレージが含まれていたのは、それほど昔のことではなかったことです。組織は、機密データがどこにあるか、物理的なアクセスを許可される人数が限られているため、保護の強さに自信を持つことができました。

これは、私たちが今日住んでいるデジタル世界ではありません。要塞化された境界は、遠隔地の環境とモバイルデバイスの急増に取って代わられています。ビジネス データは現在、世界中のサーバーに格納されている仮想化ストレージに分散されています。これにより、企業に優れた柔軟性と拡張性がもたらされますが、セキュリティギャップを悪用しようとする悪意のある攻撃者の攻撃対象領域も広がります。

この課題に対応して、セキュリティの専門家はゼロトラストセキュリティの新時代の到来を告げています。ゼロ トラストアプローチ の最も基本的なアプローチでは、誰が、何を、どこにいても、すべてのリソース間のすべてのアクセスリクエストを検証する必要があります。基本的に、ゼロトラストはセキュリティの考え方と戦略であり、完全に実装するのは難しい場合があります。

この投稿では、ゼロトラスト手法の起源について説明し、ますますリモートで境界のないクラウドファーストの環境で組織がゼロトラストセキュリティを実装する方法について説明します。

ゼロトラストの簡単な歴史

ゼロトラストという用語は、1990年代に計算セキュリティに関する博士論文で初めて議論されましたが、現在の意味では使用されていませんでした。この概念は、パラダイムの基礎となるものの原則についてForrester Researchが議論した後、2010年頃に さらに注目を集めました

Forrester は、組織内で信頼できる境界という考え方にはリスクがあることを認識していました。認証情報が侵害される可能性があるだけでなく、内部脅威の防止については一切言及されていません。したがって、別段の証明がない限り、すべてのネットワーク トラフィックは信頼できないと見なされる必要があります。

数年が経ち、ますますモバイル化が進む (そして現在はますますリモート化している) 従業員は、境界の基本的な概念さえも再定義しています。これは、クラウドソリューションの台頭と相まって、クレデンシャルベースの認証からのさらなる移行を必要としています。人に焦点を当てることに加えて、 ゼロトラストフレームワークを拡張 してデータに焦点を当てる必要があります。つまり、次世代のセキュリティツールでは、ネットワークアクティビティ、ユーザーアクセスと権限、データアクセスと使用を考慮する必要があります。

ゼロトラストでは、ユーザーが誰であるかを尋ねるだけでは不十分です。すべてのログイン試行は、次のようなコンテキストを要求する必要があります。

  • デバイスは既知のデバイスとして使用されていますか?
  • ログインは既知の場所またはネットワークから来ていますか?
  • 彼らはどのようなデータまたはアプリケーションにアクセスしようとしていますか?

もちろん、このコンテキストをすべて要求し、検証することは、ますますオープンになる環境では言うは易く行うは難しです。セキュリティの専門家は、ますますオープン化するデジタル環境における 新しいトレンドに備え る必要があります。さらに一歩進んで、最新のセキュリティ環境でゼロトラストパラダイムを採用する方法を見ていきます。

ボーダレス環境でのゼロトラストの実装

今日のデータ急増とリモートワークの性質上、かつてのようにセキュリティ境界を適用することはほぼ不可能です。それでは、この戦略を結果とテクノロジー主導のセキュリティパラダイムに変えるためのいくつかの実行可能なステップを見てみましょう。

保護サーフェスの定義

組織の環境を保護するための最初のステップは、その環境を定義することです。本質的に、あなたは存在しない境界線を設けようとしています。このアプローチでは、すべてのユーザー、デバイス、権限、トラフィックを含むネットワークと環境の 全体 像が必要です

これは、クラウドベースのサービスを使用している場合、またはサーバーに共有ホスティングがある場合に特に困難です。Hosting Dataの業界専門家であるAlex Williams氏によると、 リソースが共有されると、セキュリティが打撃を受ける可能性があります。「サーバーは非常に共同的な性質を持っているため、ウイルスがサーバーサイト全体に拡散し、サーバーサイトにリンクされている人々に感染する可能性があります」とウィリアムズ氏は言います。「セキュリティをパーソナライズする方法はありません。基本的には、あなたを守るためにホスティングチームに頼っているのです。」

特定の設定に関係なく、最新の攻撃対象領域は常に拡大しています。いくつかの方法があります。 攻撃対象領域を定義するしかし、ゼロトラストでは、何を 保護しなければならないかという観点から具体的にアプローチします。

これにより、ビジネスにとって最も価値のあるものに焦点が絞られます。「保護サーフェス」には、次のものが含まれます。

  • データ(個人を特定できる情報や支払いカード情報など)
  • アプリケーション(CRMや支払いプロセスなど、データにアクセスするために使用されるもの)
  • 資産 (POS 端末など、データを処理するサーバーまたは機器)
  • サービス (DNS や Active Directory など、データへのアクセスに使用されるビジネス クリティカルなサービス)

保護されたサーフェスを定義すると、ユーザー認証に関連する従来のアクセス管理に加えて、データ管理と資産管理が統合されます。

ゼロトラストポリシーの草案

保護サーフェスを定義したら、この情報を使用して組織全体のポリシーを正式に設定する必要があります。ゼロトラストでは、誰が、何に、いつ、どこからアクセスできるかを尋ねる必要があります。特定のリソースに対してアクセス要求が行われるたびに、いくつかの質問をする必要があります。

  • 誰がアクセスする必要がありますか?
  • どのデバイスにアクセスできる必要がありますか?
  • ユーザーはいつアクセスできますか?
  • ユーザーはどこからアクセスできますか?
  • リソースは何に使用できますか?

これらの質問は、さまざまな資産やサービスの固有のニーズをカバーするのに十分な具体的な実行可能な手順に変換する必要があります。属性ベースのアクセス制御 (ABAC) モデルは、さまざまなリソース グループの属性を対象としたポリシーを作成するのに役立ちます。

ただし、サービスの種類ごとに異なるポリシーがあるからといって、それが全社的なポリシーではないという意味ではありません。このテーマに不慣れな場合は、ゼロトラストポリシー戦略の策定を支援するために 専門家に相談することを検討 する必要があります。

「仮想」境界を形成する

仮想境界を強化するために適用できるツールや戦術はいくつかあります。オープンランドスケープでは、ネットワークフローをマッピングし、クラウドネイティブリソースの可視性を高めることが主な焦点となるはずです。

オンプレミスと仮想リソースを含む ハイブリッドクラウド環境 がある可能性があります。また、社内ソフトウェアとサードパーティソフトウェアに対処する必要があります。ABAC モデルは、ルールを統合して、より完全な可視性を提供するのに役立ちます。さらに、ゼロトラストを適用するためにサービスをセグメント化する必要があります。

保護されたソースをきめ細かく制御できる マイクロセグメンテーションツール は、侵害が発生した場合の攻撃の重大度を軽減するのに役立ちます。セグメンテーションは、クラウドベースのマイクロサービスを使用する場合に特に重要であり、仮想の壁を設置しなくても、攻撃者は盗んだ認証情報のセットを 1 つだけ使用してシステム内を横方向に移動できます。また、適切なツールを使用すると、システムの動作をリアルタイムで可視化できるため、ポリシーの適用に役立ちます。

一貫した監視とテスト

ポリシーと実装に自信が持てたとしても、システムの脆弱性のテストをやめてはなりません。事前に構築されたポリシーをテスト して、不審なアクティビティを検出し、脅威が発生した場合に緊急対策を講じるために使用できることを確認します。また、脆弱性をマッピングし、自己満足に陥らないように、社内または委託先で定期的に敵対的テストを行うことも役立ちます。

チームを教育する

最後に、組織全体でゼロトラストパラダイムを推進するには、ターゲットを絞った教育を使用して全員を参加させる必要があります。IT 部門から経営幹部まで、ポリシーの変更がなぜ実施され、どのような影響を与えるのかを全員が理解することが重要です。

たとえば、アクセス管理と多要素認証によってログインプロセスがどのように変化するか、そしてこれが会社、従業員、顧客にとってなぜ重要なのかについて従業員をトレーニングする必要があります。

Conclusion

デジタル世界は常に変化しており、セキュリティ専門家はこれらの変化に適応する負担を負っています。オンプレミスのデバイスがロックダウンされていた時代は終わり、ハイブリッドクラウド、 エッジコンピューティング 、モノのインターネットに取って代わられました。

ゼロトラストは、多層のデータ中心のセキュリティで企業がこの状況に立ち向かうのに役立ちます。そして、適切に実装されれば、セキュリティが不便に感じる理由はありません。むしろ、責任と健全なサイバー衛生を促進する組織全体の優先順位の変化になる可能性があります。

ゼロトラストセグメンテーションのパイオニアでありリーダーであるイルミオが、以下にどのように役立つかをご覧ください。

関連トピック

No items found.

関連記事

メーカーがゼロトラストセグメンテーションを導入すべき9つの理由
ゼロトラストセグメンテーション

メーカーがゼロトラストセグメンテーションを導入すべき9つの理由

イルミオがメーカーがゼロトラストセグメンテーションを使用してランサムウェアや侵害の脅威から業務を保護するのにどのように役立つかをご覧ください。

Read more
RSAC 2024:見逃したかもしれない3つの会話
ゼロトラストセグメンテーション

RSAC 2024:見逃したかもしれない3つの会話

今年、RSACに関してよく聞かれた3つのトピックをまとめてご紹介します。

Read more
デンマークの史上最大規模の重要インフラ攻撃からエネルギー事業者が学べること
ゼロトラストセグメンテーション

デンマークの史上最大規模の重要インフラ攻撃からエネルギー事業者が学べること

ここでは、この攻撃について私たちが知っていることと、エネルギー事業者がゼロトラストセグメンテーションを使用して同様の侵害に積極的に備える方法を紹介します。

Read more
No items found.

違反を想定します。
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

Learn more